zccst整理
如何避免?
1,使用mysql_escape_string()方法
$url = "";
插入时,如果url中有单引号,则会导致插入失败。
$url = mysql_escape_string($url);
调用此方法后,可插入成功。
查询时,用户录入:john和' OR ''='
select * from user where name ='john' AND password='' OR ''=''
这意味着任何用户无需输入合法的密码即可登陆。
参考php官方资料:http://php.net/manual/zh/security.database.sql-injection.php
mysql安全之sql注入
猜你喜欢
转载自zccst.iteye.com/blog/1503951
今日推荐
周排行